25. Mai 2018 und ...

25.05.2018

... die Welt dreht sich weiter. Heute tritt die DSGVO, die Datenschutz-Grundverordnung, international als GDPR, General Data Protection Regulation, bekannt, in Kraft. Dabei gelten die Regeln im Prinzip schon seit zwei Jahren. Verfolgt man Presseberichte und Werbung hatte man zeitweilig den Eindruck, dass es sich hier um ein Ereignis zum Jahr 2000 Wechsel handelte. Dabei regeln die DSGVO nur dass, was eigentlich schon seit Jahren selbstverständlich sein sollte. Man darf Adressen bei der Werbung nicht überstrapazieren und die Leute belästigen. Man darf die Daten nicht zur Ausforschung und zum persönlichen Nachteil der Menschen benutzen. Und man sollte wissen, welche Daten man wo im Unternehmen zu welchem Zweck hat. Letzteres ist das klassische Anwendungsgebiet des Informationsmanagements: "Der Wert der Information ist entscheidend für den Umgang mit Information. Nur Information, die bekannt ist, kann genutzt und geschützt werden. Nur bekannte Information hat einen inhärenten Wert."

Ganzheitliche Information Governance ist angesagt 

Personenbezogene Daten sind nur eine Sicht auf alle Daten im Unternehmen. Um personenbezogene Daten schützen und verwalten zu können, muss man alle Daten kennen. Das gleiche gilt auch für z.B. steuerlich relevante Daten oder Informationen die als Betriebsgeheimnisse einzustufen sind. Neben Verfahrensverzeichnissen (z.B. DSGVO), Prozessdokumentationen (z.B. ISO 9001:2015) und Verfahrensdokumentationen (z.B. GoBD) spielt die Informationslandkarte die entscheidende Rolle. In ihr sind die Orte, Besitzer und Regeln der verschiedenen Arten von Informationen dokumentiert (http://bit.ly/2GhBAiD). Solche Übersichten über ihre Informationen benötigen die Unternehmen schon immer. Deshalb sind die DSGVO nur eine neu formulierte generelle Anforderung an den ordnungsgemäßen Umgang mit Information. Warum dies immer noch von Menschen mühsam manuell dokumentiert werden muss (man sehe sich nur die ganzen Vordrucke in den sogenannten "Rettungspaketen" zur DSGVO an), ist mir unerklärlich. Nahezu alle Informationen die für die Dokumentation benötigt werden, liegen in den Systemen vor (http://bit.ly/selbst-dokumentation; http://bit.ly/selbstdokumentierend). Dies wäre ein schönes Anwendungsgebiet für Bigdata Analysis und KI Künstliche Intelligenz. Die Klassifikation der Information, deren Auffinden und Kartieren, das Nachhalten der Veränderungen und Nutzung - das alles kann Software besser und schneller und vollständiger und nachvollziehbarer als der Mensch. Die Umsetzung der Anforderungen der GDPR ließe sich also am Besten innerhalb der Systeme mit den Mitteln der Systeme umsetzen. Und dabei sollte man sich nicht nur auf die aktuell diskutierte DSGVO stürzen sondern einen generellen Information-Governance-Ansatz verfolgen (http://bit.ly/InfoGov-Strategie) - sonst endet man wieder im Silo-Denken.  

DSGVO & PROJECT CONSULT

Zurück zur aktuellen Situation mit der DSGVO. Natürlich hat auch PROJECT CONSULT ihre Datenschutzerklärung aktualisiert (https://www.project-consult.de/datenschutz) und konkret die Prozesse beschrieben, wie mit den Daten, die über die Webseite gewonnen werden, umgegangen wird. Popups informieren über die Nutzung von Session-Cookies. Auf Archivseiten (http://bit.ly/PCHHwebarchiv) wird darauf hingewiesen, dass diese eingefrorenen Bestände historisch sind und die DSGVO natürlich nicht kennen können (obwohl damals auch schon vor 20 Jahren der Umgang mit den im Web erfassten Informationen bei PROJECT CONSULT klar und entsprechend BDSG geregelt war).

Heute ist Towel Day

Kommen wir zum eigentlich wichtigen des heutigen Tages: der 25. Mai ist jedes Jahr "Towel Day" (http://bit.ly/towelDay, http://www.towelday.org/). Der Towel Day erinnert an Douglas Adams und ist ein Meme aus dem Klassiker "Hitchhikers Guide to the Galaxy". Heute also den ganzen Tag mit Handtuch  unterwegs sein! Aus dem Hitchhikers Guide stammt auch das Meme "42" - die ultimative Antwort auf alle Fragen des Seins, des Sinn des Lebens, der Zukunft, der Existenz ... einfach aller Fragen. leider führt dies auch zu der Erkenntnis, dass die DSGVO nicht "42" ist. Zu viele offene Flanken, zu viel Aufwand für Vereine, kleine Unternehmen und Einzelgewerbetreibende, zu viele Lücken für Großunternehmen, zu viel Bürokratie. Jedoch hilft es vielleicht den "Ängsten" vor dem magischen Datum 25.5.2018 mit dem tiefgründigen Humor eines Douglas Adams entgegen zu treten. Arthur Dent hat es halt schließlich auch geschafft, den Weltuntergang zu überleben.

Kommentare

Das Urteil in der Rechtssache C-210/16 des Gerichtshof der Europäischen Union vom 5.6.2018 (https://curia.europa.eu/jcms/upload/docs/application/pdf/2018-06/cp180081de.pdf) macht das Leben mit Social-Media-Webseiten nicht einfacher ... Als Betreiber einer Social-Media-Fan-Page oder -Gruppe wird man für die Inhalte und den Datenschutz mit verantwortlich gemacht. Rechtsanwalt Dr. Schwenke hat das EUGH-Urteil in einem ausführlichen Beitrag aufgearbeitet (https://allfacebook.de/policy/eugh-urteil). Selbst wenn man als Moderator oder Betreiber einer Gruppe oder Seite keinen Zugang zu den Daten der Plattform hat, ist man bei Verstößen der Plattform "mitgefangen". Der Gerichtsfall liegt zwar vor dem Inkrafttreten der DSGVO, wird aber durch diese letztlich verstärkt.

Dies gilt aber auch für die Werkzeuge, die Social-Media-Plattformen den Moderatoren bereitstellen, um Auswertungen auch personenbezogener Daten zu ermöglichen. Als Betreiber oder Moderator einer Gruppe oder Seite auf einer Social-Media-Plattform erhält man so selbst Zugang zu Daten der teilnehmenden Nutzer. Auch wenn diese Werkzeuge in keiner Weise damit vergleichbar sind, was der Plattformbetreiber alles mit den Daten machen kann. Auch hier kann man sich schon in einer Grauzone bewegen, wenn man die Mitglieder einer Gruppe klassifiziert, die Teilnehmer an einer Veranstaltung auswertet. Schließlich sind die Mitglieder einer Gruppe und Abonnenten einer Seite keine persönliche "Freundschaft" mit dem Betreiber der Gruppe der Seite eingegangen. Sie sind Mitglied geworden auf Grund des Interesses an einem Thema oder weil sie sich einer Interessensgemeinschaft zugehörig fühlen. Schnell verlassen auch die Daten von solchen Mitglieder die Plattform, wenn man außerhalb der Plattform zu Veranstaltungen einlädt, Links auf externe Angebote einbaut oder solche Daten an Dritte weitergibt, und sei es nur als Empfehlung.

PROJECT CONSULT benutzt in keiner ihrer Social-Media-Präsenzen die bereitgestellten Analyse-Werkzeuge und nutzt auf diesen Plattformen veröffentlichte Daten von anderen Nutzern nur innerhalb der jeweiligen Plattform entsprechend den Datenschutzbedingungen der jeweiligen Plattform. Dort entscheiden Sie als Nutzer der Social-Media-Plattform selbst, welche Daten und Inhalte Sie öffentlich machen.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO

Facebook-Fan-Seiten abschalten oder nicht - das ist hier die Frage? Und wichtiger, was sind die Auswirkungen für andere Social-Media-Angebote, für Gruppen, Events usw.? Und wird die deutsche Rechtsprechung reagieren, da ja das Urteil sich auf ein Gesetz bezieht, dass gerade durch die DSGVO abgelöst wurde? Fragen über Fragen ... und ein paar mögliche Antworten:

Die Deutschen Datenschützer

DSK | Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 6. Juni 2018 | Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern https://www.PROJECT-CONSULT.de/files/DSK-zu-Fanpages-EuGH-Urteil-20180605.pdf

"Die unabhängigen Datenschutzbehörden des Bundes und der Länder begrüßen das Urteil des Europäischen Gerichtshofs (EuGH) vom 5. Juni 2018, das ihre langjährige Rechtsauffassung bestätigt. 
Das Urteil des EuGH zur gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage hat unmittelbare Auswirkungen auf die Seitenbetreiber. Diese können nicht mehr allein auf die datenschutzrechtliche Verantwortung von Facebook verweisen, sondern sind selbst mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzenden ihrer Fanpage. 
Dabei müssen sie die Verpflichtungen aus den aktuell geltenden Regelungen der Datenschutz-Grundverordnung (DS-GVO) beachten. Zwar nimmt das Urteil Bezug auf die frühere Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zum freien Datenverkehr, doch die vom EuGH festgestellte Mitverantwortung der Seitenbetreiber erstreckt sich auf das jeweils geltende Recht, insbesondere auf die in der DS-GVO festgeschriebenen Rechte der Betroffenen und Pflichten der Verarbeiter. 

Im Einzelnen ist Folgendes zu beachten: 

  • Wer eine Fanpage besucht, muss transparent und in verständlicher Form darüber informiert werden, welche Daten zu welchen Zwecken durch Facebook und die Fanpage-Betreiber verarbeitet werden. Dies gilt sowohl für Personen, die bei Facebook registriert sind, als auch für nicht registrierte Besucherinnen und Besucher des Netzwerks. 
  • Betreiber von Fanpages sollten sich selbst versichern, dass Facebook ihnen die Informationen zur Verfügung stellt, die zur Erfüllung der genannten Informationspflichten benötigt werden. 
  • Soweit Facebook Besucherinnen und Besucher einer Fanpage durch Erhebung personenbezogener Daten trackt, sei es durch den Einsatz von Cookies oder vergleichbarer Techniken oder durch die Speicherung der IP-Adresse, ist grundsätzlich eine Einwilligung der Nutzenden erforderlich, die die Anforderung der DS-GVO erfüllt. 
  • Für die Bereiche der gemeinsamen Verantwortung von Facebook und Fanpage Betreibern ist in einer Vereinbarung festzulegen, wer von ihnen welche Verpflichtung der DS-GVO erfüllt. Diese Vereinbarung muss in wesentlichen Punkten den Betroffenen zur Verfügung gestellt werden, damit diese ihre Betroffenenrechte wahrnehmen können.

Für die Durchsetzung der Datenschutzvorgaben bei einer Fanpage ist die Aufsichtsbehörde zuständig, die für das jeweilige Unternehmen oder die Behörde zuständig ist, die die Fanpage betreibt. Die Durchsetzung der Datenschutzvorgaben im Verantwortungsbereich von Facebook selbst obliegt primär der irischen Datenschutzaufsicht im Rahmen der europäischen Zusammenarbeit. 

Die deutschen Aufsichtsbehörden weisen darauf hin, dass nach dem Urteil des EuGH dringender Handlungsbedarf für die Betreiber von Fanpages besteht. Dabei ist nicht zu verkennen, dass die Fanpage-Betreiber ihre datenschutzrechtlichen Verantwortung nur erfüllen können, wenn Facebook selbst an der Lösung mitwirkt und ein datenschutzkonformes Produkt anbietet, das die Rechte der Betroffenen wahrt und einen ordnungsgemäßen Betrieb in Europa ermöglicht."

Anwälte 

RA Schwenke https://allfacebook.de/policy/eugh-urteil 

RA Solmecke https://meedia.de/2018/06/05/abschalten-der-fanpages-derzeit-einzige-rechtskonforme-loesung-was-der-anwalt-zum-eugh-facebook-urteil-sagt/

RA Neubauer http://www.absatzwirtschaft.de/eugh-urteil-gelangen-jetzt-alle-facebook-fanpages-ins-fadenkreuz-der-datenschuetzer-eine-rechtsanalyse-133950/ 

RA Ulbricht http://www.rechtzweinull.de/archives/2606-eugh-urteil-facebook-fanpagebetreiber-mitverantwortlichkeit.html

RA Härting https://www.cr-online.de/blog/2018/06/06/fanpage-urteil-des-eugh-10-fragen-10-antworten-good-bye-auftragsverarbeitung-welcome-gemeinsame-verantwortlichkeit/

RA Diercks https://diercks-digital-recht.de/2018/06/update-entschliessung-der-dsk-zum-eugh-urteil-c-210-16-im-hinblick-auf-eine-gemeinsame-verantwortung-von-facebook-und-seitenbetreibern-spoiler-sie-muessen-was-tun/

Presse

Meedia https://meedia.de/2018/06/06/die-fuenf-wichtigsten-fragen-und-antworten-zum-eugh-urteil-zu-facebook-fanseitenbetreibern/ 

Heise https://www.heise.de/newsticker/meldung/Analyse-zum-EuGH-Urteil-Noch-kein-Grund-Facebook-Seiten-zu-schliessen-4069690.html

 

 

... und wenn jetzt noch auf solchen Fan-Pages ohne Datenschutzerklärung und ohne Kontrolle, was Facebook  mit den Daten anstellt, auch noch Fotos gepostet werden, ohne dass man vorher das schriftliche Einverständnis der Fotografierten eingeholt hat ... ja, dann kann man gleich auch das Internet abschalten.

Ob sich Facebook vom EuGH-Urteil beeindrucken lässt und eine entsprechende Vereinbarung mit den Betreibern einer Fan-Seite anbietet?

Oder ob eine GDPR-compliant Fan-Seite, Gruppe oder gleich Facebook insgesamt dann kostenpflichtig wird?

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO

Es gibt einen neuen Referentenentwurf des Bundesministeriums des Innern, für Bau und Heimat: "Entwurf eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG). Hierzu die Stellungnahme des DAV Deutscher Anwaltverein: http://bit.ly/2DSAnpUG (#DSAnpUG).

Auch durch die Richtlinien ergibt sich Bedarf das Thema Datenschutz weiter zu verfolgen:

  • "ePrivacy"-Richtlinie (ursprünglich 2002 als Directive, seit 2017 als umzusetzende Richtlinie) (#ePrivacy)
  • "Richtlinie (EU) 2016/943 vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung". Auch für das GeschgehG gibt es schon einen Referentenentwurf (#GeschGehG).

Im Rahmen des Digital Single Market (DSM) werden diese Richtlinien auch in anderen Direktiven und Richtlinien der EU verankert.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO

Neuen Kommentar schreiben

*
Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.